고정 헤더 영역
상세 컨텐츠
본문
Microsoft 보안 권고(2501696)
MHTML의 취약점으로 인한 정보 유출 문제점
게시 날짜: 2011년 1월 29일
버전: 1.0
일반 정보
요약
Microsoft는 지원 대상인 모든 Microsoft Windows 에디션에서 새로 발견되어 공개적으로 보고된 취약점을 조사하고 있습니다. 이 취약점으로 인해 공격자는 사용자가 다양한 웹 사이트를 방문할 때 악성 스크립트를 실행하도록 하여 정보 유출이 발생할 수 있습니다. 이 취약점의 영향은 서버측 사이트 간 스크립팅(XSS) 취약점과 유사합니다. Microsoft는 이 취약점을 악용하려는 게시된 정보 및 개념 증명 코드에 대한 보고를 받았습니다. 현재 Microsoft는 이 취약점의 실제 악용에 대한 징후를 발견하지 못했습니다.
MHTML이 문서 내의 콘텐츠 블록에 대한 MIME 형식의 요청을 해석하는 방식에 취약점이 존재합니다. 이 취약점은 대상 사용자의 Internet Explorer의 컨텍스트에서 실행되는 웹 요청의 응답에 공격자가 클라이언트 쪽 스크립트를 주입할 수 있는 특정 조건에서 발생할 수 있습니다. 스크립트는 콘텐츠를 스푸핑하거나 정보를 유출하고 영향을 받는 웹 사이트에서 대상 사용자 대신 어떠한 동작도 수행할 수 있습니다.
Microsoft는 고객에게 폭넓은 보호를 제공할 수 있도록 정보를 제공하기 위해 MAPP(Microsoft Active Protections Program) 파트너와 협력하고 있습니다.
Microsoft는 서비스 공급자와 협력하여 서버측 대안을 조사하고 있지만, 고객은 서비스와 관계 없이 잠재적인 공격 경로를 차단하기 위해 이 권고의 권장 조치 섹션에 제공된 클라이언트측 대안을 하나 이상 적용하는 것이 좋습니다.
이 조사가 완료되는 대로 Microsoft는 고객을 보호하기 위한 적절한 조치를 취할 것입니다. 고객의 요구에 따라, 여기에는 매달 제공되는 보안 업데이트 또는 부정기 보안 업데이트가 포함될 수 있습니다.
권고 세부 정보
문제점 참고 자료
이 문제점에 대한 자세한 내용은 다음 참고 자료를 참조하십시오.
| 참고 자료 | 번호 |
|
CVE 참고 |
|
|
Microsoft 기술 자료 문서 |
영향을 받는 소프트웨어 및 영향을 받지 않는 소프트웨어
이 권고에 해당되는 소프트웨어는 다음과 같습니다.
| 영향을 받는 소프트웨어 |
|
Windows XP 서비스 팩 3 |
|
Windows XP Professional x64 Edition 서비스 팩 2 |
|
Windows Server 2003 서비스 팩 2 |
|
Windows Server 2003 x64 Edition 서비스 팩 2 |
|
Windows Server 2003 SP2(Itanium 기반 시스템용) |
|
Windows Vista 서비스 팩 1 및 Windows Vista 서비스 팩 2 |
|
Windows Vista x64 Edition 서비스 팩 1 및 Windows Vista x64 Edition 서비스 팩 2 |
|
Windows Server 2008(32비트 시스템용) 및 Windows Server 2008(32비트 시스템용) 서비스 팩 2** |
|
Windows Server 2008(x64 기반 시스템용) 및 Windows Server 2008(x64 기반 시스템용) 서비스 팩 2** |
|
Windows Server 2008(Itanium 기반 시스템용) 및 Windows Server 2008(Itanium 기반 시스템용) 서비스 팩 2 |
|
Windows 7(32비트 시스템용) |
|
Windows 7(x64 기반 시스템용) |
|
Windows Server 2008 R2(x64 기반 시스템용)** |
|
Windows Server 2008 R2(Itanium 기반 시스템용) |
**Server Core 설치는 영향을 받지 않습니다. Server Core 설치 옵션을 사용하여 설치한 경우 이 권고에서 설명하는 취약점은 지원 대상인 Windows Server 2008 또는 Windows Server 2008 R2 에디션에 영향을 주지 않습니다. 이 설치 옵션에 대한 자세한 내용은 TechNet 문서, Server Core 설치 관리(영문) 및 Server Core 설치 서비스(영문)를 참조하십시오. 참고: Server Core 설치 옵션은 Windows Server 2008 및 Windows Server 2008 R2의 특정 에디션에 적용되지 않습니다. Server Core 설치 옵션에 따른 버전 비교를 참조하십시오.
 |
자주 제기되는 질문 사항(FAQ) |
|
|
완화 요소 및 권장 조치 |
기타 정보
MAPP(Microsoft Active Protections Program)
고객에 대한 보안을 강화하기 위해 Microsoft는 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약점 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약점 정보를 사용하여 안티바이러스, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침임 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면 Microsoft MAPP(Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.
사용자 의견
| • |
Microsoft 도움말 및 지원 양식, 고객 서비스 문의처를 작성하여 피드백을 보낼 수 있습니다. |
지원
| • |
기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 사용 가능한 지원 옵션을 자세히 보려면 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오. |
| • |
기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. Microsoft 지원 부서에 연락하는 방법에 대한 자세한 내용은 국가별 지원 (영문)에 나와 있습니다. |
| • |
Microsoft TechNet Security는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다. |
부인
이 권고에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
개정 내역
| • |
V1.0(2011년 1월 29일): 권고가 게시되었습니다. |
'디지털기기 관련' 카테고리의 다른 글
| Intel HD Graphics - 다중 디스플레이 - 설정 (0) | 2011.06.10 |
|---|---|
| Windows Home Server 사용기 (0) | 2011.06.06 |
| 에즈윈, 칩셋결함 Intel P67/H67 메인보드 교체서비스 접수 시작! (0) | 2011.03.09 |
| ASUS - STCOM 인텔 6시리즈 메인보드 무상교체 안내 (0) | 2011.03.09 |
| 기가바이트P67/H67 메인보드 고객만족 교체 서비스 진행 안내 (0) | 2011.03.09 |
| [PMP] COWON V5 이야기 - 나의 세번째 PMP, V5 HD (0) | 2010.03.09 |
| 한글 2007 홈 에디션 행사 참석 (1) | 2009.10.07 |
| 한글 815, 오피스 2007 홈 에디션으로의 무상 업그레이드 행사 참가 (1) | 2009.10.07 |
| Realtek HD Audio 설치 및 문제 해결 (수정) (0) | 2009.05.05 |
| 씨게이트(맥스터) 하드디스크 오류 해결 (0) | 2009.01.23 |